Gisteren (17 november) heeft Magento al haar gebruikers gemaild met met het onderwerp Magento and POODLE SSL 3.0 Vulnerability. Het betreft een informatieve e-mail over een lek in een zeer verouderd SSL protocol en ondernomen actie van betaalprovider PayPal om dit veiligheidslek te dichten. In de mail wordt opgeroepen om bij de hostingprovider te controleren of jij als Magento webshopeigenaar actie moet ondernemen.
Het antwoord op die vraag luidt: jij als Byte en Hypernode klant hoeft niets te doen, wij hebben dit aan de serverkant al opgevangen.

POODLE? Wat is dat?

Half oktober is bekend gemaakt dat er een veiligheidslek is aangetroffen in een zeer verouderde SSL versie (de uit 1999 stammende SSL 3.0). Zie nu.nl. Het lek heeft de naam POODLE gekregen. Door dit lek is het voor kwaadwillenden mogelijk om verkeer dat via een SSL 3.0 verbinding verloopt te onderscheppen en uit te lezen, bijvoorbeeld inloggegevens.

Het POODLE lek gaat echter iets verder dan dat: het is mogelijk om het gebruik van deze onveilige SSL 3.0 af te dwingen. Kortgezegd werkt het alsvolgt: wanneer een bezoeker een website opvraagt met SSL beveiliging, gaat de browser voor verbinding op zoek naar de meest recente SSL versie die door beide kanten (browser en server) wordt ondersteund. In verreweg de meeste gevallen is dit een recente en veilige SSL versie. Maar: als een verbinding om de een of andere reden niet gemaakt kan worden, gaat de browser op zoek naar een andere en oudere SSL versie om mee te werken. Hackers kunnen hier gebruik van maken door net zo lang verbindingen te laten mislukken totdat ze toegang krijgen tot de onveilige SSL 3.0. 

PayPal en SSL 3.0 / POODLE

Magento meldt in haar mail dat PayPal niet langer de oude SSL 3.0 ondersteunt (dit betekent: verbindingen die via SSL 3.0 lopen niet langer kan lezen). Het is enkel met nieuwere SSL versies nog mogelijk om verbinding te leggen met PayPal. Om een verbinding met PayPal tot stand te brengen (bij het check-out proces van je shop) is het dus van belang dat de server waarop de Magento installatie draait ook deze nieuwere SSL versies ondersteunt. Daarom adviseert Magento haar klanten om bij hun hostingpartij na te gaan of dit wel het geval is. 

Jij als Byte en Hypernode klant hoeft niets te doen

Byte en Hypernode hebben altijd de veiligste versies beschikbaar, en zo ook in het geval van SSL protocollen. Onze servers kunnen goed met PayPal ‘praten’. Hiervoor hoef jij ook niets te doen. 

Net als PayPal ondersteunen ook Byte en Hypernode geen SSL 3.0 meer

Niet alleen ondersteunen we de nieuwste en veilige versies, we zijn net als PayPal een stapje verder gegaan en hebben de ondersteuning van SSL 3.0 uitgezet. Bij de uitleg van POODLE hierboven kun je namelijk lezen dat het gebruik van de zeer verouderde en onveilige SSL versie door hackers afgedwongen kan worden. Dit betekent in de praktijk dat ook browsers met een nieuwe SSL verbinding kwetsbaar zijn. Gelukkig kunnen wij dit aan onze kant voorkomen door de ondersteuning van onveilige SSL versie helemaal uit te zetten. We hebben dit daarom bij de bekendmaking van dit lek (in oktober) direct gedaan.

Wat betekent dit voor jou?

Het uitzetten van SSL 3.0 kan niet helemaal onopgemerkt. Uit recente metingen blijkt dat wereldwijd nog 0,03% van de bezoekers gebruik maakt van een sterk verouderde browser die enkel en alleen de onveilige SSL 3.0 ondersteunt. Uit een scan blijkt dat dit binnen het Byte platform ook ongeveer 0,03% van de bezoekers betreft. Deze hele kleine groep bezoekers krijgt nu een foutmelding als ze jouw site via https bezoekt. Wij kiezen echter voor de veiligheid van jouw en je klantgegevens.

Veelgestelde vraag: Heb ik nu een nieuw SSL certificaat nodig?

Nee. Onze certificaten werken met alle versies van het SSL protocol. Het is dus niet nodig om een nieuw certificaat aan te vragen.

 

 

Scan je eigen Magento shop op veiligheidslekken